AWS Migration Hub Refactor Spaces est actuellement disponible en version préliminaire et susceptible d'être modifié.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des rôles liés à un service pour Refactor Spaces

AWS Migration Hub Refactor Spaces utiliseAWS Identity and Access Management(IAM)Rôles liés à un service. Un rôle lié à un service est un type unique de rôle IAM lié directement à Refactor Spaces. Les rôles liés à un service sont prédéfinis par Refactor Spaces et comprennent toutes les autorisations nécessaires au service pour appeler d'autresAWSservices en votre nom.

Un rôle lié à un service simplifie la configuration des espaces de refacteur, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Refactor Spaces définit les autorisations de ses rôles liés à un service et, sauf définition contraire, seuls Refactor Spaces peuvent endosser leurs rôles. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Vos ressources Refactor Spaces sont ainsi protégées, car vous ne pouvez pas involontairement supprimer d'autorisation pour accéder aux ressources.

Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez AWS Services qui fonctionnent avec IAM et recherchez les services avec un Oui dans la colonne rôle lié au service. Choisissez un Yes (Oui) ayant un lien permettant de consulter la documentation du rôle lié à un service, pour ce service.

Autorisations des rôles liés à un service pour Refactor Spaces

Refactor Spaces utilise le rôle lié à un service nomméRôle de service AWS pour les espaces de facteurs de concentrateurs de migrationet l'associe à laPolitique de rôle de service des espaces Hub Migration HubStratégie IAM — Permet d'accéder àAWSressources gérées ou utilisées par AWS Migration Hub Refactor Spaces.

Le rôle lié à un service AWSServiceRoleForMigration HubRefactorSpaces approuve les services suivants pour assumer le rôle :

Vous trouverez ci-dessous l'Amazon Resource Name (ARN) pour AWSServiceRoleForMigration HubRefactorSpaces.

arn:aws:iam::111122223333:role/aws-service-role/refactor-spaces.amazonaws.com/AWSServiceRoleForMigrationHubRefactorSpaces

Refactor Spaces utilise leRôle de service AWS pour les espaces de facteurs de concentrateurs de migrationrôle lié au service lors de modifications entre comptes. Ce rôle doit être présent dans votre compte pour utiliser Refactor Spaces. S'il n'est pas présent, Refactor Spaces le crée lors des appels d'API suivants :

Vous devez disposer des autorisations iam:CreateServiceLinkedRole de création du rôle lié au service. Si le rôle lié à un service n'existe pas dans votre compte et ne peut pas être créé, leCreateles appels vont échouer. Vous devez créer le rôle lié au service dans la console IAM avant d'utiliser Refactor Spaces, sauf si vous utilisez la console Refactor Spaces.

Refactor Spaces n'utilise pas le rôle lié à un service lorsque vous modifiez le compte connecté actuel. Par exemple, lorsqu'une application est créée, Refactor Spaces met à jour tous les VPC de l'environnement afin qu'ils puissent communiquer avec le VPC récemment ajouté. Si les VPC se trouvent dans d'autres comptes, Refactor Spaces utilise le rôle lié au service et leec2:CreateRouteautorisation de mettre à jour les tables de routage dans d'autres comptes.

Pour développer davantage l'exemple de création d'application, lors de la création d'une application, Refactor Spaces met à jour les tables de routage situées dans le cloud privé virtuel (VPC) fourni dans leCreateApplicationAppelez. De cette façon, le VPC peut communiquer avec d'autres VPC de l'environnement.

L'appelant doit avoir leec2:CreateRouteautorisation que nous utilisons pour mettre à jour les tables de routage. Cette autorisation existe dans le rôle lié au service, mais Refactor Spaces n'utilise pas le rôle lié au service dans le compte de l'appelant pour obtenir cette autorisation. Au lieu de cela, l'appelant doit disposer duec2:CreateRouteautorisation. Sinon, l'appel échoue.

Vous ne pouvez pas utiliser le rôle lié à un service pour augmenter vos privilèges. Votre compte doit déjà disposer des autorisations dans le rôle lié au service pour effectuer les modifications dans le compte appelant. LeAWSMigrationHubRefactorSpacesFullAccessla stratégie gérée, associée à une stratégie qui accorde les autorisations supplémentaires requises, définit toutes les autorisations nécessaires pour créer des ressources Refactor Spaces. Le rôle lié au service est un sous-ensemble de ces autorisations qui est utilisé pour des appels intercomptes spécifiques. Pour plus d'informations sur AWSMigrationHubRefactorSpacesFullAccess, veuillez consulter AWSstratégie gérée : Accès complet aux espaces du facteur de migration AWS.

Tags

Lorsque Refactor Spaces crée des ressources dans votre compte, ils sont marqués avec l'ID de ressource Refactor Spaces approprié. Par exemple, la passerelle Transit Gateway créée depuisCreateEnvironmentest étiqueté avec lerefactor-spaces:environment-idavec l'ID d'environnement comme valeur. L'API API Gateway créée à partir deCreateApplicationest étiqueté avecrefactor-spaces:application-idavec l'ID de l'application comme valeur. Ces balises permettent à Refactor Spaces de gérer ces ressources. Si vous modifiez ou supprimez les balises, Refactor Spaces ne peut plus mettre à jour ou supprimer la ressource.

MigrationHubRefactorSpacesServiceRolePolicy

La stratégie d'autorisations des rôles nommée MigrationHubRefactorSpaceRolePolicy permet à Refactor Spaces d'effectuer les actions suivantes sur les ressources spécifiées :

Vous trouverez ci-dessous la stratégie complète qui affiche les ressources auxquelles les actions précédentes s'appliquent :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeVpcEndpointServiceConfigurations",
                "ec2:DescribeTransitGatewayVpcAttachments",
                "elasticloadbalancing:DescribeTargetHealth",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeTargetGroups",
                "ram:GetResourceShareAssociations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:DeleteSecurityGroup",
                "ec2:DeleteTransitGatewayVpcAttachment",
                "ec2:CreateRoute",
                "ec2:DeleteRoute",
                "ec2:DeleteTags",
                "ram:DeleteResourceShare",
                "ram:AssociateResourceShare",
                "ram:DisassociateResourceShare"
            ],
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/refactor-spaces:environment-id": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteVpcEndpointServiceConfigurations",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/refactor-spaces:application-id": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:RegisterTargets",
                "elasticloadbalancing:CreateLoadBalancerListeners",
                "elasticloadbalancing:CreateListener",
                "elasticloadbalancing:DeleteListener",
                "elasticloadbalancing:DeleteTargetGroup"
            ],
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "aws:ResourceTag/refactor-spaces:route-id": [
                        "*"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "apigateway:PUT",
                "apigateway:POST",
                "apigateway:GET",
                "apigateway:PATCH",
                "apigateway:DELETE"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/restapis",
                "arn:aws:apigateway:*::/restapis/*",
                "arn:aws:apigateway:*::/vpclinks/*",
                "arn:aws:apigateway:*::/tags",
                "arn:aws:apigateway:*::/tags/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/refactor-spaces:application-id": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "apigateway:GET",
            "Resource": "arn:aws:apigateway:*::/vpclinks/*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DeleteLoadBalancer",
            "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:AddTags",
                "elasticloadbalancing:CreateListener"
            ],
            "Resource": "arn:*:elasticloadbalancing:*:*:loadbalancer/net/refactor-spaces-nlb-*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/refactor-spaces:route-id": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DeleteListener",
            "Resource": "arn:*:elasticloadbalancing:*:*:listener/net/refactor-spaces-nlb-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:DeleteTargetGroup",
                "elasticloadbalancing:RegisterTargets"
            ],
            "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:AddTags",
                "elasticloadbalancing:CreateTargetGroup"
            ],
            "Resource": "arn:*:elasticloadbalancing:*:*:targetgroup/refactor-spaces-tg-*",
            "Condition": {
                "Null": {
                    "aws:RequestTag/refactor-spaces:route-id": "false"
                }
            }
        }
    ]
}

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM.

Création d'un rôle lié à un service pour Refactor Spaces

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez des ressources d'environnement, d'application, de service ou de routage Refactor Spaces dans leAWS Management Console, leAWS CLI, ou leAWSAPI, Refactor Spaces crée le rôle lié à un service pour vous. Pour plus d'informations sur la création d'un rôle lié à un service pour Refactor Spaces, consultez la sectionAutorisations des rôles liés à un service pour Refactor Spaces.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez des ressources d'environnement, d'application, de service ou d'itinéraire Refactor Spaces, Refactor Spaces crée à nouveau le rôle lié à un service pour vous.

Modification d'un rôle lié à un service pour Refactor Spaces

Refactor Spaces ne vous permet pas de modifier le rôle lié à un service AWSServiceRoleForMigration HubRefactorSpaces. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas modifier le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. Pour de plus amples informations, consultez Modification d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Suppression d'un rôle lié à un service pour Refactor Spaces

Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Pour supprimer les ressources Refactor Spaces utilisées par AWSServiceRoleForMigrationHubreFactorSpaces, utilisez la console Refactor Spaces pour supprimer les ressources ou utilisez les opérations de suppression de l'API pour les ressources. Pour plus d'informations sur les opérations de suppression d'API, consultez la sectionRéférence d'API Refactor Spaces.

Supprimer manuellement le rôle lié à un service à l'aide d'IAM

Utilisez la console IAM, leAWS CLI, ou leAWSAPI pour supprimer le rôle lié à un service AWSServiceRoleForMigration HubRefactorSpaces. Pour de plus amples informations, consultez Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Régions prises en charge pour les rôles liés à un service Refactor Spaces

Refactor Spaces prend en charge l'utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour de plus amples informations, consultez Régions et points de terminaison AWS.